Nastavení auditování pro Azure SQL Database a Azure Synapse Analytics

  • Článek

Platí pro:Azure SQL DatabaseAzure Synapse Analytics

V tomto článku si projdeme nastavení auditování pro logický server nebo databázi ve službě Azure SQL Database a Azure Synapse Analytics.

Konfigurace auditování pro váš server

Výchozí zásady auditování zahrnují následující sadu skupin akcí, které auditují všechny dotazy a uložené procedury spuštěné v databázi, stejně jako úspěšná a neúspěšná přihlášení:

  • BATCH_COMPLETED_GROUP
  • SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
  • FAILED_DATABASE_AUTHENTICATION_GROUP

Pokud chcete nakonfigurovat auditování pro různé typy akcí a skupin akcí pomocí PowerShellu, přečtěte si téma Správa auditování služby Azure SQL Database.

Azure SQL Database a Audit služby Azure Synapse Analytics můžou ukládat 4000 znaků dat pro pole znaků v záznamu auditu. Pokud příkaz nebo data_sensitivity_information hodnoty vrácené z auditovatelné akce obsahují více než 4 000 znaků, všechna data nad rámec prvních 4 000 znaků se zkrátí a nebudou auditována.

Následující část popisuje konfiguraci auditování pomocí webu Azure Portal.

Poznámka:

Auditování pozastaveného vyhrazeného fondu SQL není možné povolit. Pokud chcete povolit auditování, odpojte vyhrazený fond SQL. Další informace naleznete v tématu Vyhrazený fond SQL.

Pokud je auditování nakonfigurované pro pracovní prostor služby Log Analytics nebo pro cíl služby Event Hubs na webu Azure Portal nebo v rutině PowerShellu, vytvoří se nastavení diagnostiky s SQLSecurityAuditEvents povolenou kategorií.

  1. Přejděte na Azure Portal.

  2. V podokně DATABÁZE SQL nebo SQL Serveru přejděte na Auditování pod nadpisem Zabezpečení.

  3. Pokud chcete nastavit zásady auditování serveru, můžete na stránce auditování databáze vybrat odkaz Zobrazit nastavení serveru. Potom můžete zobrazit nebo upravit nastavení auditování serveru. Zásady auditování serveru platí pro všechny existující a nově vytvořené databáze na tomto serveru.

    Screenshot that shows the View server settings link highlighted on the database auditing page.

  4. Pokud chcete povolit auditování na úrovni databáze, přepněte auditování na ZAPNUTO. Pokud je povolené auditování serveru, existuje audit nakonfigurovaný databází souběžně s auditem serveru.

  5. Pro konfiguraci, kde se ukládají protokoly auditu, máte několik možností. Protokoly můžete zapisovat do účtu úložiště Azure, do pracovního prostoru služby Log Analytics pro využití protokoly služby Azure Monitor nebo do centra událostí pro spotřebu pomocí centra událostí. Můžete nakonfigurovat libovolnou kombinaci těchto možností a protokoly auditu se zapisují do každé z nich.

    Screenshot that shows the storage options for Auditing.

Auditování do cíle úložiště

Pokud chcete nakonfigurovat zápis protokolů auditu do účtu úložiště, vyberte Storage , až se dostanete do části Auditování . Vyberte účet úložiště Azure, do kterého chcete protokoly uložit. Můžete použít následující dva typy ověřování úložiště: spravovaná identita a přístupové klíče úložiště. U spravované identity se podporuje spravovaná identita přiřazená systémem a spravovaná identita přiřazená uživatelem. Ve výchozím nastavení je vybraná primární identita uživatele přiřazená k serveru. Pokud neexistuje žádná identita uživatele, vytvoří se spravovaná identita přiřazená systémem a použije se pro účely ověřování. Po výběru typu ověřování vyberte dobu uchování tak, že otevřete Rozšířené vlastnosti a vyberete Uložit. Protokoly starší než doba uchovávání se odstraní.

Screenshot that shows storage account authentication types for Auditing.

Poznámka:

Pokud nasazujete z webu Azure Portal, ujistěte se, že je účet úložiště ve stejné oblasti jako vaše databáze a server. Pokud nasazujete jinými metodami, může být účet úložiště v libovolné oblasti.

  • Výchozí hodnota doby uchovávání je 0 (neomezené uchovávání). Tuto hodnotu můžete změnit tak, že při konfiguraci účtu úložiště pro auditování přesunete posuvník Uchování (dny) v rozšířených vlastnostech .
    • Pokud změníte dobu uchovávání od 0 (neomezeného uchovávání) na jinou hodnotu, bude uchovávání platit pouze pro protokoly zapsané po změně hodnoty uchovávání. Protokoly zapsané během období, kdy byly dny uchovávání nastaveny na neomezenou dobu uchovávání, se zachovají i po povolení uchovávání.

Auditování do cíle Log Analytics

Pokud chcete nakonfigurovat zápis protokolů auditu do pracovního prostoru služby Log Analytics, vyberte Log Analytics a otevřete podrobnosti o Log Analytics. Vyberte pracovní prostor služby Log Analytics, ve kterém chcete protokoly ukládat, a pak vyberte OK. Pokud jste nevytvořili pracovní prostor služby Log Analytics, přečtěte si téma Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.

Screenshot showing the Log Analytics workspace.

Auditování do cíle služby Event Hubs

Pokud chcete nakonfigurovat zápis protokolů auditu do centra událostí, vyberte Centrum událostí. Vyberte centrum událostí, do kterého chcete protokoly uložit, a pak vyberte Uložit. Ujistěte se, že je centrum událostí ve stejné oblasti jako databáze a server.

Screenshot showing the Event hub.

Poznámka:

Pokud používáte více cílů, jako je účet úložiště, Log Analytics nebo centrum událostí, ujistěte se, že máte oprávnění ke všem cílům, které ukládají konfiguraci auditu, by selhalo, protože se pokusí uložit nastavení pro všechny cíle.

Další kroky

Analýza protokolů auditu a sestav pomocí auditování

Viz také